6. Основные понятия информационной безопасности (продолжение) Система защиты информации рациональная совокупность направлений, методов, средств и мероприятий,

Вид материала

Лекция

Подобный материал:

• Основы защиты компьютерной информации, 51.61kb.
• Как объект защиты информации, 2385.56kb.
• Учебная программа курса «методы и средства защиты компьютерной информации» Модуль, 132.53kb.
• Лекция: Основные понятия информационной безопасности, 182.39kb.
• Лекции по «Основам информационной безопасности», 351.65kb.
• Программа-минимум кандидатского экзамена по специальности 05. 13. 19 «Методы и системы, 67.78kb.
• Шифр специальности , 144.71kb.
• Продолжение работы по формированию в целях го установленного объема запасов средств, 306.97kb.
• Методические указания по изучению теоретической части Чебоксары 2009, 330.7kb.
• Рабочей программы дисциплины Основы информационной безопасности сетей и систем по направлению, 36.16kb.

Лекция 10-10-08 Организационное обеспечение ИБ


Тема 6. Основные понятия информационной безопасности (продолжение)


Система защиты информации - рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утеч­ке. Главными требованиями к организации эффективного функционирования систе­мы являются:

- персональная ответственность руководителей и сотрудников за со­хранность носителя и конфиденциальность информации;

- регламентация состава конфиденциальных сведений и документов, подлежащих защите;

- регламентация по­рядка доступа персонала к конфиденциальным сведениям и документам;

- наличие специализированной службы безопасности, обеспечивающей практическую реали­зацию системы защиты и нормативно-методического обеспечения деятельности этой службы.

Основной характеристикой системы является ее комплексность, т.е. наличие в ней обязательных элементов, охватывающих все направления защиты информации.

Соотношение элементов и их содержания обеспечивают индивиду­альность построения системы защиты информации конкретной фирмы, ее неповто­римость и необходимый заданный уровень защиты с учетом ценности информации и стоимости системы.

Элементами системы являются: правовой, организационный,

инженерно-технический, криптографический и программно-аппаратный. В каждом элементе защиты могут быть реализованы на практике только отдельные содержательные части в зависимости от поставленных задач защиты в крупных и некрупных фирмах различного профиля, малом бизнесе. Структура системы зависит как от объема и ценности защищаемой информации, так и характера возникающих угроз безопасности информации, требуемой надежности защиты и стоимости системы.


Инженерно-технический элемент системы защиты информации - предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. Элемент включает: сооружения инженерной (физической) защиты от проникновения посторонних лиц на территорию, в здание и помещения фирмы; средства защиты технических каналов распространения и возможной утечки информации; средства защиты помещений от визуальных способов технической разведки; технические средства обеспечения охраны фирмы; средства противопожарной охраны; средства обнаружения приборов и устройств технической разведки; средства противодействия этим приборам и устройствам, технические средства контроля, предотвращающие вынос персоналом из помещений специально маркированных предметов, документов, дискет.


Криптографический элемент системы защиты информации - предназначен для защиты конфиденциальной информации методами криптографии. Элемент включает:

- регламентацию использования различных криптографических методов в ЭВМ и локальных сетях;

- определение условий и методов криптографирования тек­ста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи;

- регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной и радиосвязи;

- регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров.


Организационный элемент системы защиты информации содержит методы управленческого, ограничительного и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. Эти меры связаны с установлением режима конфиденциальности в фирме. Элемент включает в себя:

- формирование и регламентацию деятельности службы безопасности и службы конфиденциальной документации;

- организацию составления и регулярного обновления перечней конфиденциальной информации и документации фирмы;

- регламентацию разрешительной системы доступа персонала к конфиденциальной информации;

- регламентацию направлений и методов работы с персоналом, контроля соблюдения им правил защиты информации;

- регламентацию технологической системы обработки и хранения конфиденциальных документов;

- ведение всех видов аналитической работы;

- регламентацию системы охраны фирмы и порядка приобретения, установки и эксплуатации инженерно-технических средств защиты информации и охраны;

- регламентацию действий персонала в экстремальных ситуациях и др.

Элемент организационной защиты является стержнем, который связывает в единую систему все другие элементы.


Правовой элемент системы защиты информации предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации. Элемент включает:

- наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;

- формулирование и доведение до сведения всех сотрудников фирмы положения о правовой ответственности за разглашение конфиденциальной информации, несанк­ционированное уничтожение или фальсификации документов;

- разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

Программно-аппаратный элемент системы защиты информации предназначен для защиты конфиденциальной информации, обрабатываемой и хранящейся в единичных компьютерах, серверах и различных информационных системах. Элемент включает:

- автономные программы, обеспечивающие защиту информации и контроль защищенности информации;

- программы защиты информации, работающие в комплексе с программами обработки информации;

- программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающими данные при несанкционированном входе в базу данных и др.).

Составные части программно-аппаратной защиты, коды, пароли и т.п. атрибуты комплексной системы защиты вычислительной техники разрабатываются и меняются специализированной организацией. Применение пользователями собственных программ не допускается.


Методы защиты информации - выборочно применяемые универсальные и специфические способы (приемы, меры, мероприятия) реализации элементов сис­темы защиты информации и входящих в них содержательных частей для форми­рования комплексной и индивидуальной структуры данных системы. К числу универсальных методов можно отнести: регламентацию процесса, выделение процесса, скрытие процесса или информации, ограничение доступа к процессу или информа­ции, дезинформацию конкурента или злоумышленника, расчленение (дробление) информации, тайны, создание физических и иных препятствий на пути злоумышленника (рубежей защиты). Специфические методы направлены на индивидуализацию системы в зависимости от поставленных задач защиты информации в конкретной фирме.


Методы легального получения информации - вид «невинного шпионажа», отличающийся правовой безопасностью, но предопределяющий возникновение ин­тереса к конкурирующей фирме, необходимости обнаружения или формирования и использования каналов несанкционированного доступа к ее ценной, конфиденци­альной информации. В основе лежит кропотливая аналитическая работа специа­листов-экспертов над опубликованными и общедоступными материалами конкури­рующей фирмы. Одновременно изучаются:

- продукция фирмы;

- рекламные издания;

- сведения, полученные в процессе официальных или неофициальных бесед и пере­говоров с сотрудниками фирмы;

- материалы пресс-конференций, презентаций науч­ных симпозиумов;

- сведения, получаемые из информационных сетей.

Легальные методы дают злоумышленнику основную массу необходимой, интересующей его информации, формулируют задачу по добыванию нелегальными методами отсутст­вующих сведений.


Методы нелегального получения информации всегда носят незаконный характер и используются в целях несанкционированного доступа к защищаемой информации, которую невозможно получить легальными методами. В основе нелегального получения информации лежит поиск злоумышленником существующих в фирме и наиболее эффективных в конкретных условиях незащищенных организа­ционных и технических каналов несанкционированного доступа к информации, формирование таких каналов при их отсутствии и реализация плана практического комплексного использования этих каналов. Нелегальные методы предполагают: воровство, копирование, продуманный обман, подслушивание разговоров, использование болтливости, безответственности и низкого профессионализма персонала, подделку идентифицирующих документов, взяточничество, склонение к сотрудничеству, подкуп, шантаж, использование болезненного состояния сотрудника, провоци­рование персонала на ошибочные действия, инсценирование или организация экс­тремальных ситуаций, применение различных криминальных приемов. При ис­пользовании нелегальных методов часто образуется агентурный канал добывания ценной, конфиденциальной информации. К нелегальным методам, в том числе относятся:

- перехват информации, объективно распространяемой по техническим каналам;

- визуальное наблюдение за помещениями фирмы и персоналом;

- анализ продуктов и объектов, содержащих следы защищаемой информации;

- анализ архитектурных особенностей объектов защиты;

- анализ отходов производства, мусора, выносимого из офиса.


Источник конфиденциальной информации - объективно пассивный накопитель (концентратор) конфиденциальной информации. В научной литературе часто используется альтернативный для сферы защиты информации термин - «носитель конфиденциальной информации» по аналогии с термином «секретоноситель». К числу основных видов источников относятся: традиционные и электронные документы, базы данных, персонал фирмы и окружающие се люди, физические поля, сопровождающие работу вычислительной и другой офисной техники, публикации о фирме и ее разработках (рекламные издания, выставочные материалы). Каждый из источников делится на множество подвидов. Классификация источников конфиденциальной информации, сопровождающих работу конкретной фирмы, является одной из главных составных частей аналитической работы по выявлению каналов несанкционированного доступа к конфиденциальной информации по обеспечению безопасности информации в каждом источнике.


Источник угрозы конфиденциальной информации - объективные и субъективные явления, события, факторы, действия и обстоятельства, содержащие опасность для ценной информации, К объективным источникам можно отнести экстремальные ситуации, несовершенство технических средств и др. Субъективные источники связаны с человеческим фактором и включают: злоумышленников, различного рода посторонних лиц, посетителей, неквалифицированный или безответственный персонал, психически неполноценных людей, сотрудников, обиженных руководством фирмы и др. Источники угрозы могут быть внешними и внутренними. Внешние источники находятся вне фирмы и представлены чрезвычайными событиями, а также организационными структурами и физическими лицами, проявляю­щими определенный интерес к фирме. Внутренние источники угрозы связаны с фа­тальными событиями в здании фирмы, а также с персоналом. Однако наличие источника угрозы само по себе не является угрозой. Угроза реализуется в действиях.


Канал несанкционированного доступа к информации - совокупность незащищенных или слабо защищенных фирмой направлений возможной утраты конфиденциальной информации, которые злоумышленник использует для получения необходимых сведений, преднамеренного незаконного доступа к защищаемой информации. В основе образования канала несанкционированного доступа лежит взаимодействие злоумышленника с источником информации или преобразование канала объективного распространения информации в канал ее утраты. Этот про­цесс требует проведения поисковой и аналитической работы и организуется тайно. Каждая фирма обладает своим набором каналов несанкционированного доступа к информации, что зависит от множества моментов: профиля деятельности, объема защищаемой информации, совершенства применяемой системы защиты инфор­мации и противодействия злоумышленникам, эффективности аналитической ра­боты, профессионального уровня персонала, местоположения здания фирмы и др. Канал несанкционированного доступа может быть организационным и техническим и обеспечиваться легальными и нелегальными методами.


Канал несанкционированного доступа организационный - направление несанкциониро-ванного доступа злоумышленника к конфиденциальной информации, осно­ванное на следующем: установление разнообразных, в том числе законных, взаимоот­ношений злоумышленника с фирмой (поступление на работу в фирму, участие в работе фирмы в качестве партнера, посредника, клиента, использование разнообразных обман­ных способов) разрешенная или не разрешенная работа с документом, делом, базой данных и т.п.) сотрудничество с работником фирмы или лицом, имеющим доступ к документации фирмы, тайное или по фиктивным документам проникновение в здание фирмы, помещения, незаконное получение документов, информации. Использование комму­никативных связей фирмы (участие в конфиденциальных совещаниях и переговорах, пе­реписке с фирмой и др.). Организационный канал в большинстве случаев основывается на таком распространенном явлении, как случайное или умышленное разглашение кон­фиденциальной информации персоналом фирмы. Организационные каналы отбираются или формируются злоумышленником индивидуально в соответствии с его профессиональным умением, конкретной ситуацией и прогнозировать их сложно.


Канал несанкционированного доступа технический - представляет собой физический путь утечки информации от источника или канала объективного рас­пространения информации к злоумышленнику. Основывается на использовании злоумышленником специальных технических средств разведки, позволяющих по­лучить защищаемую информацию без непосредственного контакта с источником, владельцем этой информации. Канал возникает при анализе злоумышленником физических полей и излучений, появляющихся в процессе работы вычислительной и другой офисной техники, при перехвате информации, имеющей звуковую, визуаль­ную или иную форму отображения. Основными видами технических каналов явля­ются акустический, электромагнитный, визуально-оптический и др. Каналы носят стандартный характер и перекрываются также стандартным набором средств противодействия. Это каналы прогнозируемые. В связи с этим они часто используются злоумышленником одновременно с. организационными каналами.


Канал объективного распространения конфиденциальной информации - путь перемещения конфиденциальных сведений из одного источника в другой в ка­честве санкционированного (разрешенного, законного) действия или в силу объек­тивных закономерностей. Указанный канал отличатся активностью и включает в се­бя: деловые, управленческие, торговые, научные и другие коммуникативные регла­ментированные связи, информационные сети, естественные технические каналы излучения, создания фона, поля. Например: обсуждение конфиденциального вопро­са на закрытом совещании, передача документа на исполнение, запись на бумаге изобретения, переговоры с потенциальным партнером, работа на ЭВМ и др.


Контроль эффективности системы защиты информации - осуществляют в негосударственных структурах органы государственной власти в порядке, опреде­ляемом Правительством Российской Федерации. На уровне фирмы собственный контроль эффективности системы защиты информации является функцией служ­бы безопасности и проводится путем регулярного анализа степени уязвимости ин­формации, соответствия структуры системы защиты информации реальным и по­тенциальным угрозам безопасности конфиденциальной информации фирмы и со­ответствующей степени противодействия этим угрозам. Результатом контрольной работы становится разработка предложений по совершенствованию системы защи­ты информации, усложнению системы или ее упрощению вплоть до отказа от по­добной системы, В основе указанных предложений должна лежать идея максималь­но возможного снижения степени уязвимости конфиденциальной информации.


Документ конфиденциальный - документ ограниченного доступа, на любом носителе, содержащий информацию, отражающую приоритетные достижения в сфере экономической, производственной, предпринимательской, управленческой и другой деятельности, а также информацию, состав которой является принадлежно­стью служебной деятельности. Утрата конфиденциального документа может нанести ущерб интересам или деловому успеху собственника или владельца информации. Под конфиденциальным (закрытым) документом понимается необходимым образом оформленный носитель документированной информации, содержащий сведения, которые относятся к негосударственной тайне, составляют интеллектуальную собственность юридического или физического лица и подлежат защите.

Называть конфиденциальные документы секретными или ставить на них гриф секретности не допускается. Особенностью конфиденциального документа является то, что он представляет собой одновременно: массовый носитель ценной, защищаемой ин­формации; основной источник накопления и распространения этой информации, в том числе ее разглашения, утечки: обязательный объект защиты.

Конфиденциальные документы включают в себя:

* в государственных структурах - документы, проекты документов и сопутствующие материалы, относимые к служебной информации ограниченного распространения (называемые в чиновничьем обиходе документами для служебного пользования), содержащие сведения, отнесенные к служебной тайне, имеющие рабочий характер и не подлежащие опубликованию в открытой печати;

* в предпринимательских структурах и направлениях подобной деятельности - документы, содержащие сведения, которые их собственник или владелец в соот­ветствии с законодательством имеет право отнести к коммерческой (предпринима­тельской) тайне, тайне фирмы, тайне мастерства;

* документы и базы данных (независимо от их принадлежности), фиксирующие любые персональные (личные) данные о гражданах, а также содержащие профессиональную тайну, технические и технологические новшества (до их патентования), тайну предприятий связи, сферы обслуживания и т.п.

Конфиденциальными не могут быть учредительные документы и устав фирмы.


Документ, документированная информация - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. Документ аудиовизуальный - документ, содержащий изобразительную и звуковую информацию.


Документ беловой - рукописный или машинописный документ, текст которого переписан с чернового документа или написан без помарок и исправлений. При автоматизированном изготовлении документов беловиком является машинограмма (твердая копия) или машиночитаемый документ, но не видеограмма.


Документ внутренний - подготовленный документ, не выходящий за преде­лы подготовившей его организации.


Документ входящий (входной) - документ, поступивший в организацию.


Документ выделенного хранения - ценный документ, изъятый по какой-то причине из дела, оформленный в самостоятельное дело и переведенный на инвен­тарный вид учета (см. Учет конфиденциальных документов), например, документ более ограниченного доступа, чем другие документы дела.

Документ дублетный - один из экземпляров копии документа.


Документ изобразительный - документ, содержащий информацию, выра­женную посредством изображения какого-либо объекта.


Документ исходящий (выходной) - подготовленный документ, отправляемый из организации.


Документ машиночитаемый - официальный документ, созданный для обес­печения работы вычислительной техники. Например, документы на машиночитае­мых носителях, машиночитаемые зоны на бумажных документах и другие.


Документ официальный - документ, созданный юридическим или физиче­ским лицом, оформленный и удостоверенный в установленном порядке.


Документ персональный - документ, содержащий персональные данные о гражданине, отражающие, в том числе его личную или семейную тайну. Комплекс персональных документов служит инициативным условием возможности установления, изменения или прекращения трудовых правоотношений гражданина с учреждением или фирмой. Однако факт их выдачи или наличия сам по себе эти отношения не устанавливает, Комплекс является сложным и включает в себя;

* документы, выдаваемые гражданам соответствующими государственными органами, организациями и юридически подтверждающие те сведения, которые гра­ждане сообщают о себе, об образовании, семейном положении и т.д. (паспорт, трудовая книжка, военный билет, диплом, свидетельство, листок нетрудоспособности и другие).

• документы, выдаваемые рабочим и служащим организацией или фирмой по месту работы для подтверждения различных правовых фактов и целевого пре­доставления: ходатайство, письмо-рекомендация, характеристика, справка, удосто­верение, пропуск, командировочное удостоверение и другие,

* документы, составляемые и направляемые гражданами администрации или профсоюзной организации фирмы в целях установления, изменения или пре­кращения трудовых или иных правоотношений: личные заявления, резюме, объяс­нительные записки, жалобы и другие,

• служебные документы, характеризующие профессиональные и деловые ка­чества работника и не предназначенные для передачи этому работнику: представление к назначению на должность, аттестационный лист, протокол проведения собеседова­ния, результаты тестирования, биографическая справка и другие документы,


Документ подлинный - документ, сведения об авторе, времени и месте создания которого, содержащиеся в самом документе или выявленные иным путем, подтверждают достоверность его происхождения. Обычно это оригинал документа, оформленный в установленном порядке и подписанный, т.е. имеющий юридическую силу.


Документ секретный - документ на любом носителе, отнесенный к инфор­мационным ресурсам ограниченного доступа и содержащий сведения, составляю­щие государственную тайну, которые включены в утвержденный специальный пе­речень таких сведений.


Документ черновой - рукописный, машинописный или электронный доку­мент, отражающий работу автора или редактора над его текстом. Множество черно­виков порождает обилие вариантов и редакций документа.


Документальный фонд - совокупность документов, образующихся в дея­тельности юридического или физического лица.


Документирование - запись информации на различных носителях по уста­новленным правилам. Способы документирования: текстовое, изобразительное, в том числе техническое, фото, кино (видео), фоно (аудио) документирование, тексто­вое и техническое документирование с использованием печатающих устройств ЭВМ, документирование на языках общения человека с техническими средствами. Средства документирования:

а) простейшие - ручки, карандаши, б) механические, электромеханические и электронные (пишущие машины, магнитофоны, диктофоны, фото-, кино-, видео-, аудиотехника. регистрирующие приборы и т.д. в) средства автоматизированного документирования на базе компьютерной техники.


Документирование конфиденциальной информации - является этапом стадии исполнения конфиденциального документа и представляет собой процесс составления документа - запечатления (фиксирования) на выбранном тип носите­ля его текста, содержащего конфиденциальные сведения. Конфиденциальный документ составляется при наличии серьезных объективных потребностей, а не в силу субъективного желания сотрудника фирмы. Необходимость документирования конфиденциальной информации санкционируется полномочным должностным лицом, которое берет на себя ответственность за распространение защищаемой информации (см. также Составление текста конфиденциального документа).


Документооборот - движение документов в организации с момента их созда­ния или получения до завершения исполнения или отправки.


Документооборот (документопоток) защищенный - контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности как носителя информации, так и самой информации. Принципы и направления движения конфиденциальных традиционных и электронных документов в аппарате фирмы едины при любой технологической системе обработки и хранения документов. Меняются методы работы с документами, но технологическая взаимо­связь документооборота с процессом управления сохраняется. Документооборот, как объект защиты, представляет собой упорядоченную совокупность (сеть) каналов объективного, санкционированного распространения конфиденциальной документированной информации (документов) в процессе управленческой и производственной деятельности пользователей (потребителей) этой информации. В результате увеличивается число источников, обладающих ценными сведениями, и расширяются потенциальные возможности для утраты конфиденциальной инфор­мации. Защищенность документопотоков достигается за счет:

- формирования само­стоятельных, изолированных потоков конфиденциальных документов и, часто, дополнительного их разбиения на подпотоки в соответствии со степенью конфиденциальности перемещаемых документов;

- использования автономной технологиче­ской системы обработки и хранения конфиденциальных документов;

- регламентации избирательности в доставке информации разрешительной (разграничительной) системой доступа персонала к конфиденциальной информации, документам и базам данных;

- расчленения (дробления) информации между исполнителями в соответствии с их функциональными обязанностями